Gestire gli account di accesso di emergenza in Azure Active Directory B2C

È importante impedire che l'organizzazione di Azure Active Directory B2C (Azure AD B2C) venga accidentalmente bloccata perché non è possibile accedere o attivare l'account di un altro utente come amministratore. È possibile ridurre l'impatto di una accidentale mancanza di accesso amministrativo creando due o più account di accesso di emergenza nell'organizzazione.

Quando si configurano questi account, è necessario soddisfare i requisiti seguenti:

• Gli account di accesso di emergenza non devono essere associati a un utente specifico dell'organizzazione. Assicurarsi che gli account non siano connessi a cellulari forniti ai dipendenti, token hardware che viaggiano con i singoli dipendenti o altre credenziali specifiche del dipendente. Questa precauzione consente di affrontare le situazioni in cui un singolo dipendente è irraggiungibile quando sono necessarie le credenziali. È importante assicurarsi che tutti i dispositivi registrati vengano mantenuti in una posizione nota e sicura con più mezzi di comunicazione con Azure AD B2C.

• Usare l'autenticazione avanzata per gli account di accesso di emergenza e assicurarsi che non usi gli stessi metodi di autenticazione degli altri account amministrativi.

• Il dispositivo o le credenziali non devono scadere o trovarsi nell'ambito della pulizia automatica per mancanza di utilizzo.

Prerequisiti

• Se non è ancora stato creato un tenant Azure AD B2C, crearlo ora. Usare un tenant Azure AD B2C esistente.
• Informazioni sugli account utente in Azure AD B2C.
• Informazioni sui ruoli utente per controllare l'accesso alle risorse.
• Informazioni sull'accesso condizionale

Creare un account di accesso di emergenza

Creare due o più account di accesso di emergenza. Questi account devono essere account solo cloud che usano il dominio .onmicrosoft.com e che non sono federati o sincronizzati da un ambiente locale.

Usare la procedura seguente per creare un account di accesso di emergenza:

1. Accedere al portale di Azure come Amministrazione istrator globale esistente. Se si usa l'account Microsoft Entra, assicurarsi di usare la directory che contiene il tenant di Azure AD B2C:

   1. Selezionare l'icona Directory e sottoscrizioni nella barra degli strumenti del portale.

   2. Nelle impostazioni del portale | Pagina Directory e sottoscrizioni , trovare la directory di Azure AD B2C nell'elenco Nome directory e quindi selezionare Cambia.

2. In Servizi di Azure selezionare Azure AD B2C. In alternativa, nella portale di Azure cercare e selezionare Azure AD B2C.

3. Nel menu a sinistra, in Gestisci, selezionare Utenti.

4. Selezionare + Nuovo utente.

5. Selezionare Create user (Crea utente).

6. In Identità:

   1. Per Nome utente immettere un nome utente univoco, ad esempio l'account di emergenza.

   2. In Nome immettere un nome, ad esempio Account di emergenza

7. In Password immettere la password univoca.

8. In Gruppi e ruoli

   1. Selezionare Utente.

   2. Nel riquadro visualizzato cercare e selezionare Amministratore globale e quindi fare clic sul pulsante Seleziona .

9. In Impostazioni selezionare il percorso di utilizzo appropriato.

10. Seleziona Crea.

11. Archiviare le credenziali dell'account in modo sicuro.

12. Monitorare l'accesso e i log di controllo.

13. Convalidare regolarmente gli account.

Dopo aver creato gli account di emergenza, è necessario eseguire le operazioni seguenti:

• Assicurarsi di escludere almeno un account dall'autenticazione a più fattori basata sul telefono

• Se si usa l'accesso condizionale, almeno un account di accesso di emergenza deve essere escluso da tutti i criteri di accesso condizionale.

Passaggi successivi

• Leggere il nome e l'ID del tenant
• Pulire le risorse ed eliminare il tenant